Здравствуйте, дополню информацию коллег для полноты картины.
Сегодня главная угроза для SaaS — не выездной инспектор, а АС МПДн (Автоматизированная система мониторинга ПДн). Это бот-паук Роскомнадзора, который непрерывно парсит Рунет, сличает формы сбора данных с документами на сайте и наличием компании в Реестре. Строим ответ именно от защиты от автоматизированного контроля.
1. Какие данные считаются ПДн?
Любая информация из ваших форм: email, телефон, ФИО, реквизиты физлиц, а также технические метаданные (IP, cookies, ID пользователя). Бот АС МПДн автоматически детектирует поля ввода () и скрипты аналитики на сайте, поэтому защита этих данных обязательна с первой секунды.
2. Локализация первичной БД в РФ?
Да, строго обязаны (ч. 5 Ст. 18 152-ФЗ). Первичный сбор, запись и систематизация данных граждан РФ должны идти на сервер внутри страны, иначе сервис рискует блокировкой домена по предписанию РКН.
3. Использование зарубежных серверов и сервисов?
Допустимо только после первичной записи данных в базу на территории РФ и соблюдения правил трансграничной передачи. Если используете зарубежные сервисы, которые не обеспечивают адекватную защиту, вам потребуется подать отдельное уведомление в РКН и ждать 10 дней до начала передачи. Если честно это не очень простой процесс и РКН весьма негативно относится к к использованию Google Analytics и Facebook Pixel без уведомления. Правила изложены в ст. 12, ФЗ 152 "О персональных данных".
4. Уведомление Роскомнадзора?
Обязательно до начала фактического сбора данных. Бот АС МПДн сопоставляет домены, собирающие данные, с Реестром операторов: если формы на сайте есть, а вас в Реестре нет — это автоматический красный флаг и повод для штрафа или запроса прокуратуры.
5. Оформление согласия (чекбоксы)?
Для самой регистрации чекбокс ПДн не нужен — обработка идет в рамках исполнения договора (Оферты). Однако бот РКН ищет на сайте пустые (не предустановленные) чекбоксы под маркетинговые рассылки и передачу данных третьим лицам — смешивать их с Офертой категорически нельзя.
6. Документы на сайте?
Для прохождения автопроверки обязательны: Политика обработки ПДн (ссылка должна быть сквозной на всех страницах), Пользовательское соглашение (Оферта) и рабочий Cookie-баннер с кнопкой согласия. Поручение на обработку данных (DPA) для клиентских баз ваших B2B-пользователей лучше всего вшить отдельным разделом прямо в Оферту.
7. Упоминание сторонних сервисов?
В Политике обработки ПДн вы обязаны прямо перечислить категории третьих лиц (или их конкретные наименования), которым передаются данные (Яндекс.Метрика, платежный шлюз, хостинг). В договорах с этими провайдерами обязательно наличие пункта о конфиденциальности, соблюдении 152-ФЗ и требовании локализации (для хостинга).
8. Штрафы и риски?
Главный риск - автоматическое выявление серверов вне РФ, что ведет к штрафу до 6 млн руб. И блокировке ресурса. Вторая критическая угроза - утечка данных (штраф до 15 млн руб., если не уведомить РКН в течение 24 часов).
Практическое резюме:
1) Обязательно до запуска (чтобы не попасться боту): Арендовать БД в РФ, опубликовать Политику ПДн и Оферту, настроить правильный куки-баннер, подать уведомление в РКН.
2) Разработать внутренние приказы (ЛНА) и регламент реагирования на утечки (на случай реальной проверки).
3) Самые рискованные нарушения: Сбор данных без записи в РФ, отсутствие компании в Реестре операторов РКН и отправка спама по предустановленным галочкам.
К ответу прилагаю инструкции по оформлению сайта.